Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4858 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site tunnel not coming up

James Shakour
here is what I see in the live log...


sent MR3, ISAKMP SA established
2010:08:17-15:11:53 LosGatosASG-1 pluto[28279]: "S_REF_OZmfjlKtgb_1" #4: cannot respond to IPsec SA request because no connection is known for 172.16.1.0/24===12.146.X.X...216.201.X.X===192.168.0.0/24
2010:08:17-15:11:53 LosGatosASG-1 pluto[28279]: "S_REF_OZmfjlKtgb_1" #4: sending encrypted notification INVALID_ID_INFORMATION to 216.201.X.X:500
2010:08:17-15:11:53 LosGatosASG-1 pluto[28279]: "S_REF_OZmfjlKtgb_1" #4: cannot respond to IPsec SA request because no connection is known for 192.168.0.0/24===12.146.X.X...216.201.X.X===192.168.0.0/24


On the ASG's themselves, the error says n connection.


This thread was automatically locked due to age.
Parents
  • 0
    Already a feature request: Notifications: IPSEC Tunnel Up/Down (Online/Offline) Alert.

    I thought some more about the above suggestion in case anyone gets to try it.  As Jshakour says, a static gateway route would be needed on both sides.  What I don't know is whether the routing in the VPN configuration is active if the VPN tunnel is down, as that would prevent the static route from working. Does anyone know?

    The more I think about it, the more I think the best answer is to use two ISPs at least in the main site, 'Uplink Interfaces' (Uplink Balancing) for the main site's 'IPsec Connection' 'Local Interface' and, in the remote site, an 'Availability Group' for the 'Gateway' in the 'Remote Gateway'.  If you also got a second ISP for the remote site, then 'Uplink Interfaces' would be used for that site's 'IPsec Connection' 'Local Interface' and, in the main site, an 'Availability Group' for the 'Gateway' in the 'Remote Gateway'.

    Cheers - Bob
    PS I corrected/clarified my suggestion.
    PPS I'm sure you know it, but if someone else reads this... If you have the same subnet (192.168.1.0/24) on both sides, the routing can't work.
Reply
  • 0
    Already a feature request: Notifications: IPSEC Tunnel Up/Down (Online/Offline) Alert.

    I thought some more about the above suggestion in case anyone gets to try it.  As Jshakour says, a static gateway route would be needed on both sides.  What I don't know is whether the routing in the VPN configuration is active if the VPN tunnel is down, as that would prevent the static route from working. Does anyone know?

    The more I think about it, the more I think the best answer is to use two ISPs at least in the main site, 'Uplink Interfaces' (Uplink Balancing) for the main site's 'IPsec Connection' 'Local Interface' and, in the remote site, an 'Availability Group' for the 'Gateway' in the 'Remote Gateway'.  If you also got a second ISP for the remote site, then 'Uplink Interfaces' would be used for that site's 'IPsec Connection' 'Local Interface' and, in the main site, an 'Availability Group' for the 'Gateway' in the 'Remote Gateway'.

    Cheers - Bob
    PS I corrected/clarified my suggestion.
    PPS I'm sure you know it, but if someone else reads this... If you have the same subnet (192.168.1.0/24) on both sides, the routing can't work.
Children
No Data